关注我们

黑客通过远程桌面服务安装新型 Matrix 勒索软件变体

LzersLzers 安全快讯 2018-04-10 380617 0

MalwareHunterTeam 本周发现了两个新的 Matrix Ransomware 变体,这些变体正在通过被黑客入侵的远程桌面服务进行安装。尽管这两种变体都会对计算机的文件进行加密,但其中一种更加先进,可提供更多调试消息并使用密码来擦除可用空间。

根据勒索软件执行时显示的调试消息以及 BleepingComputer 论坛中的各种报告,该勒索软件目前正在通过攻击者直接连接到互联网的远程桌面服务向受害者分发。一旦攻击者获得访问计算机的权限,他们将上传安装程序并执行它。

目前有两种不同的 Matrix 版本正在发布。这两种变体都安装在黑客 RDP 上,加密未映射的网络共享,加密时显示状态窗口,清除卷影副本以及加密文件名。不过,这两个变体之间有一些细微差别,第二个变体([RestorFile@tutanota.com])稍微高级一些。这些差异如下所述。

变体 1:[Files 4463@tuta.io]

这种由[ Files4463@tuta.io ]扩展名标识的变体是较不先进的变体。当这个变体正在运行时,它将同时打开以下两个窗口来显示感染的状态。 一个窗口是关于加密的状态消息,另一个窗口是关于网络共享扫描的信息。

黑客通过远程桌面服务安装新型 Matrix 勒索软件变体

当文件被加密时,它会加密文件名,然后附加[ RestorFile@tutanota.com ]扩展名。 例如, test.jpg 会被加密并重命名为 0ytN5eEX-RKllfjug。[ Files4463@tuta.io ]。

黑客通过远程桌面服务安装新型 Matrix 勒索软件变体

该变体还将桌面背景更改为以下图像。

黑客通过远程桌面服务安装新型 Matrix 勒索软件变体黑客通过远程桌面服务安装新型 Matrix 勒索软件变体

在此变体完成加密计算机后,它将执行“ cipher.exe / w:c ”命令以覆盖 C:驱动器上的可用空间。 这是为了防止受害者使用文件恢复工具来恢复他们的文件。

黑客通过远程桌面服务安装新型 Matrix 勒索软件变体

不幸的是,像以前的版本一样,这个版本不能免费解密。

如何保护您免受 Matrix Ransomware 的侵害

为了保护自己免受勒索软件攻击,一定要使用良好的计算习惯和安全软件。首先,您应始终拥有可靠且经过测试的数据备份,以备在紧急情况下可以恢复,如勒索软件攻击。

由于 Matrix Ransomware 可能通过黑客入侵的远程桌面服务进行安装,因此确保其正确锁定非常重要。这包括确保没有运行远程桌面服务的计算机直接连接到 Internet。而应将运行远程桌面的计算机放在 VPN 后面,以便只有那些在您的网络上拥有 VPN 帐户的人才能访问它们。

设置适当的帐户锁定策略也很重要,这样可以使帐户难以被强制通过远程桌面服务强制执行。

您还应该拥有安全软件,其中包含行为检测以对抗勒索软件,而不仅仅是签名检测或启发式检测。例如,Emsisoft 反恶意软件和 Malwarebytes 反恶意软件都包含行为检测功能,可以防止许多(如果不是大多数)勒索软件感染对计算机进行加密。

最后但并非最不重要的一点是,确保您练习以下安全习惯,在许多情况下这些习惯是所有最重要的步骤:

– 备份

– 如果您不知道是谁发送的,请不要打开附件。

– 直到您确认该人实际寄给您的附件才开启附件,

– 使用 VirusTotal 等工具扫描附件。

– 确保所有的 Windows 更新一旦出来就安装好! 另外请确保您更新所有程序,特别是 Java,Flash 和 Adobe Reader。 较旧的程序包含恶意软件分发者通常利用的安全漏洞。 因此重要的是让他们更新。

– 确保您使用的是安装了某种使用行为检测或白名单技术的安全软件。 白名单可能是一个痛苦的训练,但如果你愿意与它一起存货,可能会有最大的回报。

– 使用硬密码并且不要在多个站点重复使用相同的密码。


版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。
详情查看:版权纠纷
E-Mail:server@heibai.org

喜欢1评论已闭